.NET MAUI אפליקציות אנדרואיד מזויפות
מומחי אבטחת סייבר חשפו מסע פרסום חדש של תוכנות זדוניות של אנדרואיד, המנצל את המסגרת של Microsoft .NET Multi-platform App UI (.NET MAUI). במסווה של יישומי בנקאות ומדיה חברתית, היישומים המאיימים הללו מכוונים בעיקר למשתמשים דוברי הודית וסינית ומטרתם לאסוף מידע רגיש.
תוכן העניינים
מהו ה-.NET MAUI ומדוע משתמשים בו?
ה-.NET MAUI הוא המסגרת בין הפלטפורמות של מיקרוסופט לפיתוח יישומים מקוריים באמצעות C# ו-XAML. זה התפתח מ-Xamarin, ומציע למפתחים דרך יעילה ליצור יישומים מרובים עם פרויקט יחיד תוך מתן אפשרות לקוד ספציפי לפלטפורמה במידת הצורך.
יש לציין כי מיקרוסופט סיימה רשמית את התמיכה ב-Xamarin ב-1 במאי 2024, מה שעודד מפתחים לעבור ל-.NET MAUI. שחקני איומים הסתגלו במהירות, ניצלו את המסגרת הזו לפיתוח תוכנות זדוניות חדשות של אנדרואיד, ממשיכים את המגמה שלהם של חידוד ופיתוח שיטות התקפה.
כיצד ה-.NET MAUI מסייע בזיהוי תוכנות זדוניות
בניגוד ליישומי אנדרואיד מסורתיים, המסתמכים על קבצי DEX וספריות מקוריות, תוכנת זדונית המבוססת על .NET MAUI מאחסנת את פונקציונליות הליבה שלה בקבצי C# blob בינאריים. זה הופך את הזיהוי למאתגר יותר, מכיוון שהמסגרת פועלת כמארז המסייע לתוכנה הזדונית להימשך ללא זיהוי במכשירי הקורבן.
על ידי שימוש ב-.NET MAUI, פושעי סייבר משיגים מספר יתרונות:
- מצב התגנבות : הקוד הפגום מוסתר בתוך קבצים בינאריים של C#, מה שמקשה על הניתוח.
- התמדה מורחבת : התוכנה הזדונית נשארת במכשירים נגועים זמן רב יותר מבלי להפעיל התראות אבטחה.
- טקטיקות התחמקות : הארכיטקטורה הלא שגרתית מאפשרת לעקוף סריקות אבטחה מסורתיות.
זוהו יישומי בנקאות ומדיה חברתית מזויפים
חוקרים זיהו מספר אפליקציות הונאה המשתמשות ב-.NET MAUI, המכונה ביחד FakeApp. חלק מהיישומים המזויפים הבולטים כוללים:
אפליקציות בנקאות מזויפות:
כרטיס אשראי של אינדוס (indus.credit.card)
כרטיס Indusind (com.rewardz.card)
יישומי מדיה חברתית ויישומי שירות מזויפים:
קופידון (pommNC.csTgAT)
X•GDN (pgkhe9.ckJo4P)
迷城 (Míchéng) (pCDhCg.cEOngl)
私密相册 (אלבום פרטי) (pBOnCi.cUVNXz)
小宇宙 (יקום קטן) (p9Z2Ej.cplkQv)
יישומים אלה מרמים משתמשים להתקין אותם, ואז מחלצים בשקט ומשדרים את הנתונים האישיים שלהם לשרת הנשלט על ידי תוקף.
איך מרמים משתמשים
בניגוד ליישומים לגיטימיים המופצים דרך Google Play, יישומים מזויפים אלה מסתמכים על טקטיקות מטעות להפצה. תוקפים שולחים קישורים הונאה דרך יישומי הודעות, מה שמוביל את המשתמשים לחנויות אפליקציות לא רשמיות, שם הם מורידים את התוכנה הזדונית שלא ביודעין.
לְמָשָׁל:
- יישום בנקאי מזויף מתחזה למוסד פיננסי הודי כדי לגנוב את השמות המלאים של המשתמשים, מספרי הטלפון הניידים, פרטי כרטיס האשראי ותעודות זהות שהונפקו על ידי הממשלה.
- אפליקציית מדיה חברתית הונאה המחקה את "X" (לשעבר טוויטר) אוספת אנשי קשר, הודעות SMS ותמונות, ומכוונת למשתמשים דוברי סינית.
טכניקות התחמקות מתקדמות בשימוש
כדי להימנע מזיהוי, התוכנה הזדונית משתמשת במספר טכניקות מתוחכמות:
- העברת נתונים מוצפנת : נתונים שנאספו נשלחים לשרת Command-and-Control (C2) באמצעות תקשורת שקעים מוצפנת.
- הרשאות מזויפות : התוכנה הזדונית מחדירה הרשאות חסרות משמעות (למשל, 'android.permission.LhSSzIw6q') לקובץ AndroidManifest.xml כדי לבלבל את כלי הניתוח.
- טעינה דינמית רב-שלבית : היא משתמשת במטען מוצפן XOR כדי להפעיל מטען מוצפן AES, אשר לאחר מכן טוען את מכלולי ה-.NET MAUI המכילים את התוכנה הזדונית בפועל.
- אינטראקציית משתמש מעוררת פעולות זדוניות : מטען הליבה נשאר מוסתר בקוד C#, מופעל רק כאשר המשתמש מקיים אינטראקציה עם האפליקציה (למשל, לחיצה על כפתור). בשלב זה, הוא גונב נתונים בשקט ומשדר אותם לשרת C2.
איך להישאר בטוח
לאור התחכום ההולך וגובר של התקפות אלה, על המשתמשים לנקוט בצעדים יזומים כדי להגן על עצמם:
- הימנע מחנויות אפליקציות של צד שלישי - הורד רק אפליקציות מ-Google Play או ממקורות מהימנים.
- אמת הרשאות אפליקציה - היזהר מאפליקציות המבקשות הרשאות מיותרות.
- הישאר ערני לקישורי דיוג - אל תלחץ על קישורים חשודים בהודעות.
- השתמש בתוכנה נגד תוכנות זדוניות - התקן פתרון אבטחה נייד אמין כדי לזהות ולהסיר איומים פוטנציאליים.
עם פושעי סייבר שמפתחים ללא הרף את הטקטיקות שלהם, שמירה על מידע וזהירות היא ההגנה הטובה ביותר מפני האיומים המתעוררים הללו.
